Boj s Emotetem aneb Jak se bránit v první linii

06. February 2019 11:25 0 komentářů

Emotet je malware navržený tak, aby se vyhnul detekci, opevnil se a dále se šířil.

Díky častým a nepravidelným aktualizacím, modulárnímu i polymorfnímu designu a schopnosti využívat řadu různorodých technik pro procházení sítí, představuje tento software pro administrátory a bezpečnostní nástroje pohyblivý cíl, který se navíc neustále mění. Během své pětileté existence se Emotet vyvinul z trójského koně, který tiše kradl přístupy k bankovním účtům, do podoby velmi důmyslné a široce využívané platformy pro distribuci dalších typů malware. Často pak opět bankovních „Trojanů“.

Emotet se šíří na pozadí rozličných spamových kampaní a může s sebou přinést jakýkoli malware. V letošním roce se to zatím týkalo bankovních trojských koní TrickBot a QBot, nicméně Emotet byl spojen i se sofistikovaným ransomwarem BitPaymer, který na výkupném získal šestimístnou dolarovou částku. V červenci 2018 vydal americký úřad US-CERT (United States Computer Emergency Readiness Team) varování, ve kterém Emotet popsal jako “…jeden z nejdestruktivnějších a nejnákladnějších malwarů, které útočí na veřejnou správu. Jeho vlastnosti podobné červům umožňují rychlé šíření napříč sítí, což znesnadňuje boj s touto infekcí. V americkém veřejném sektoru dosahovaly náklady spojené s řešením jednoho bezpečnostního incidentu způsobeného tímto malwarem výše až milionu dolarů.” Emotet zůstává extrémně vážnou hrozbou a představuje jednu z nejnáročnějších výzev, kterým musí čelit systémoví administrátoři a lovci škodlivého software. Z tohoto důvodu jsme se ve spolupráci s Peterem Mackenzie, specialistou společnosti Sophos na problematiku malware, rozhodli připravit přehled tipů, které jsou účinnou pomocí v boji s touto hrozbou.

Zabezpečte všechny své stroje

Prevence je lepší než léčba. A jedním z nejúčinnějších preventivních kroků, které můžete udělat, je zajistit, aby se v rámci vaší podnikové informační architektury nenacházely žádné nezabezpečené počítače. Potvrzují to ostatně i slova Petera Mackenzieho – vždy, když dojde k napadení organizace Emotetem, je zdrojem infekce nějaké nechráněné zařízení připojené do sítě. Firmy často o těchto strojích ani nevědí, natož o tom, že by byly napadeny malwarem. Pomocí zdarma dostupného nástroje pro skenování síťové infrastruktury můžete získat seznam všech aktivních zařízení na síti a porovnat jej s výstupy z vaší bezpečnostní konzole. Pokud naleznete jakákoli neznámá zařízení, tak je co nejrychleji aktualizujte a vybavte je nejnovějším řešením pro ochranu koncových bodů.

Neznámé a nezabezpečené stroje představují také prostor, ve kterém se může Emotet ukrývat a přizpůsobovat – což celou situaci ještě zhoršuje. Ačkoli se zpočátku nachází pouze na nezabezpečených počítačích, bude se pokoušet rozšířit se do okolí. A protože jde o polymorfní malware, často se aktualizuje – někdy i několikrát za den – a velmi rychle se mění. Emotet tak neustále přináší nové výzvy. Čím delší dobu mu dovolíte toto dělat, tím větší bude riziko, že nějaká nová verze najde mezeru ve vaší ochraně a rozšíří se po síti.

Je nemožné předpovídat, co mu takovou mezeru umožní objevit – může to být nový exploit nebo třeba mutace, která Emotet dočasně skryje před antiviry využívajícími detekci pomocí signatur. Zásadním faktorem úspěchu v boji s touto hrozbou je proto skutečně důkladná ochrana. S nalezením zdroje nákazy i s její likvidací vám pomohou zejména pokročilé anti-malwarové techniky, jako je Deep Learning, prevence před zneužíváním exploitů nebo technologie pro detekci a reakci na útoky na koncové body (Endpoint Detection and Response, EDR).

Záplatujte často a co nejdříve

Emotet je bránou pro další malware, takže jeho zablokování znamená současně ochranu i před ostatními hrozbami, které přicházejí spolu s ním. Vzhledem k tomu, že nevíte, o jakou hrozbu přesně půjde, musíte přijmout ta nejlepší možná opatření. A v popředí seznamu těch nejvhodnějších – a seznam to může být poměrně dlouhý – by mělo být záplatování používaných systémů tak, aby byly odolné proti známým zranitelnostem.

Možná se tato rada jeví jako nejstarší bezpečnostní doporučení pod sluncem, nicméně má své opodstatnění. Realitou je, že právě v důsledku zanedbaných aktualizací se ohniska nákazy malwarem Emotet rozrůstají a je stále obtížnější jej zastavit. Příkladem toho, jak to celé funguje, může být EternalBlue – SMB exploit, který v roce 2017 proslavily ransomwary WannaCry a NotPetya. A ačkoli se to zdá neuvěřitelné, navzdory všem zprávám a takřka dva roky od vydání aktualizace zabezpečení společností Microsoft (MS17-010), která zajistila dostatečnou ochranu, přináší zneužívání tohoto exploitu stále ještě nějaký zisk. Příkladem takového malware je TrickBot, který je nejčastěji šířený právě prostřednictvím Emoteta. Nezapomínejte proto na záplaty a aktualizace.

Výchozí nastavení pro PowerShell? Zablokováno!

Emotet zahájí svoji cestu do podnikové informační architektury obvykle jako příloha elektronické pošty a scénář vzniku ohniska nákazy pak často vypadá následovně:

Uživatel obdrží e-mail s přiloženým dokumentem ve Wordu

Uživatel tento dokument otevře a pošetile povolí spuštění makra

Makro vyvolá skript v PowerShellu, který Emoteta stáhne do napadnutého počítače

A infekce začíná.

Je tedy jasné, že aby Emotet uspěl, musí uživatelé udělat špatně hned několik věcí. Finální rada by tak mohla znít „vysvětlete zaměstnancům, aby neotevírali podezřelé e-maily a nespouštěli makra“. Nezapomínejte ale, že jde o nikdy nekončící proces – stačí selhat jedinkrát. Přímočařejší a ze strany administrátorů snadněji zajistitelné opatření je zablokování přístupu k PowerShellu. Což neznamená zablokovat přístup naprosto všem uživatelům, protože někteří jej opravdu potřebují. Důležité je ale povolovat přístup k tomuto shellu pouze v prokazatelně oprávněných případech. Blokováním v tomto případě znamená opravdové znemožnění přístupu, nejen pouhé nastavení politik, které by PowerShell zakázaly. Bezpečnostní politiky mohou být deaktivovány, a proto by měl být PowerShell zařazený na seznam blokovaných aplikací (v případě technologií společnosti Sophos jde o funkci s názvem Application Control).

Michal Hebeda, Sales Engineer ve společnosti SOPHOS


Komentáře

RSS 

Komentujeme

Chvála černých skřínek

Pavel Houser , 20. April 2019 10:30

Umělé inteligenci, respektive strojovému učení, se poslední dobou často vytýká, že nikdo přesně neví...

Více

Kalendář

14. 05.

17. 05.
FESPA 2019
16. 05. Document Management Conference 2019
19. 05.

23. 05.
IEEE SP 2019







RSS 

Zprávičky

Snapchatu vzrostl počet uživatelů, firma snížila ztrátu

ČTK , 24. April 2019 09:28

Firma snížila svou ztrátu o 20 % na 310 milionů dolarů....

Více 0 komentářů

Twitter zvýšil zisk i tržby, překvapivě vzrostl i počet uživatelů

ČTK , 24. April 2019 09:00

Tržby firmy se v prvním kvartálu zvýšily o 18 % na 787 milionů dolarů....

Více 0 komentářů

Dražba frekvencí pro síť 5G zatím v SRN vynesla 5,4 miliardy eur

ČTK , 24. April 2019 08:00

Spolková republika v nynější aukci draží licence k celkem 41 frekvenčním blokům v pásmech okolo 2000...

Více 0 komentářů

Starší zprávičky

Kritická komunikace na nízkofrekvenční LTE

Pavel Houser , 23. April 2019 13:23

Nordic Telecom a Nokia spouštějí v Česku první LTE síť na světě pro kritickou komunikaci v pásmu 410...

Více 0 komentářů

Nejvyšší kontrolní úřad: Generální finanční ředitelství porušilo rozpočtovou kázeň za 428 milionů Kč

Pavel Houser , 23. April 2019 09:55

IS ADIS provozuje finanční správa už od roku 1993, a jedná se tak podle NKÚ o jeden z nejzastaralejš...

Více 0 komentářů

Samsung odložil zahájení prodeje ohebného telefonu Galaxy Fold

ČTK , 23. April 2019 09:00

Zprávy o závadách displeje nového telefonu vyvolaly vzpomínky na Samsung Galaxy Note 7....

Více 0 komentářů

Huawei navzdory tlaku USA výrazně zvýšila tržby

ČTK , 23. April 2019 08:00

Čínský výrobce telekomunikačních zařízení Huawei v prvním čtvrtletí zvýšil tržby meziročně o 39 proc...

Více 0 komentářů